Dracarys Mobile Malware

Os cibercriminosos estão usando uma versão armada do aplicativo de mensagens legítimo Signal para espalhar uma potente ameaça de spyware para Android conhecida como Dracarys. A ameaça está sendo aproveitada principalmente contra alvos localizados na Índia, Paquistão, Reino Unido e Nova Zelândia. A ameaça Dracarys foi trazida à tona pela primeira vez em um relatório de ameaças contra adversários divulgado pela Meta (anteriormente Facebook). Um relatório mais aprofundado sobre Dracarys foi publicado por pesquisadores.

Os especialistas em infosec atribuem a ameaça ao grupo Bitter APT (Advanced Persistent Threat). Os hackers entregaram o Dracarys Android Malware aos dispositivos de suas vítimas por meio de uma página de phishing especialmente criada, projetada para imitar o portal de download legítimo do Signal. O domínio usado foi 'signalpremium(dot)com.' Aproveitando o código-fonte aberto do aplicativo Signal, os hackers do Bitter APT criaram uma versão que manteve todas as funcionalidades e recursos usuais que os usuários esperam do aplicativo. No entanto, a versão modificada também incluiu o malware Dracarus em seu código-fonte.

Uma vez estabelecida no dispositivo, a ameaça de malware móvel é capaz de extrair uma ampla gama de dados, enquanto também espiona o alvo. Após ser ativado, o Dracarys tentará primeiro estabelecer uma conexão com um servidor Firebase para receber instruções sobre que tipo de dados coletar. A ameaça pode coletar listas de contatos, dados de SMS, posição de GPS, arquivos, uma lista de todos os aplicativos instalados, registros de chamadas, etc. O spyware também pode capturar capturas de tela e fazer gravações de áudio. Todos os dados coletados são então exfiltrados para o servidor de Comando e Controle da operação.